25 мая 2021 г.
Брюс Шнейер и Трей Херр | Foreign Policy
Хакерский успех России показывает, насколько уязвимо облако для кибератак
"Российская кампания кибершпионажа Sunburst, обнаруженная в конце прошлого года, затронула более 100 крупных компаний и федеральных агентств США, включая министерства финансов, энергетики, юстиции и внутренней безопасности. Важнейшей частью успеха русских была их способность проходить через эти организации, взламывая облачные и локальные сетевые системы идентификации, чтобы затем получить доступ к облачным аккаунтам и воровать электронные письма и файлы", - пишет Foreign Policy.

"Хакеры, которые, по словам правительства США, работали на Кремль, нацеливались на широко используемый облачный сервис Microsoft, который синхронизирует идентификационные данные пользователей. Хакеры украли сертификаты безопасности для создания собственных идентификаций, то позволило им обойти такие меры безопасности, как многофакторная проверка подлинности, и получить доступ к учетным записям Office 365, что повлияло на тысячи пользователей в затронутых компаниях и государственных учреждениях", - говорится в статье.

"Облачные сервисы не в первый раз становятся объектом кибератаки, и уж точно не в последний. Слабые стороны облака также сыграли решающую роль во взломе Capital One в 2019 году. Там уязвимость облака Amazon Web Services (...) привела к раскрытию десятков миллионов клиентских данных, включая приложения для кредитных карт, номера социального страхования и информацию о банковских счетах", - напоминает издание.

"Эта тенденция атак на облачные сервисы со стороны преступников, хакеров и государств усиливается по мере того, как облачные сервисы становятся моделью по умолчанию для информационных технологий во всем мире. Утечка данных - это плохо, но нарушение работы облака, даже отключение одного провайдера, может стремительно обойтись мировой экономике в миллиарды долларов в день. Облачные сервисы являются важным источником риска как потому, что они быстро вытеснили традиционные IТ, так и потому, что они концентрируют право собственности на проектные решения в руках очень небольшого числа компаний. Во-первых, облако становится все более стандартным режимом компьютерной работы для организаций, что означает, что все больше пользователей и критически важные данные национальных разведывательных и оборонных ведомств опираются на эти технологии. Во-вторых, облачные сервисы, особенно предоставляемые четырьмя крупнейшими мировыми поставщиками - Amazon, Microsoft, Alibaba и Google - позволяют сосредоточить ключевые решения в области безопасности и разработки технологий внутри небольшого числа организаций. Последствия неверных решений (...) могут быстро распространяться на сотни миллионов пользователей", - указывают авторы публикации Брюс Шнейер и Трей Херр.

"Облако - везде. Некоторые облачные компании предоставляют программное обеспечение как услугу, поддерживают вашу привычку смотреть Netflix или поддерживают ваши чаты в Slack. Другие предоставляют компьютерную инфраструктуру, такую как бизнес-базы данных и пространство для хранения документов. Крупнейшие облачные компании предоставляют и то, и другое. (...) Выбор, сделанный поставщиком в отношении того, как эти технологии спроектированы, созданы и развернуты, влияет на безопасность пользователя, но при этом пользователь имеет очень мало влияния на них. Далее, если у Google или Amazon есть уязвимость на их серверах, о которой вы вряд ли узнаете и не сможете контролировать, от последствий пострадаете вы", - отмечается в статье.

"Эта проблема - экономического характера. На первый взгляд может показаться, что конкуренция между облачными компаниями дает им стимул инвестировать в безопасность своих пользователей. Но (...), во-первых, безопасность для этих облачных компаний в значительной степени является внешним фактором, поскольку потери из-за утечки данных в значительной степени несут их пользователи. До тех пор, пока облачный провайдер не начинает массово терять клиентов - чего обычно не бывает до инцидента с безопасностью - у него есть стимулы для недостаточного инвестирования в безопасность. Кроме того, данные показывают, что и инвесторы не наказывают компании, предоставляющие облачные услуги (...), - говорится в публикации. - Во-вторых, (...) потребителям может быть невозможно понять, какие угрозы и как учитываются облачными сервисами. Такое отсутствие понимания затрудняет оценку общей безопасности облачной службы. В результате клиенты и пользователи не могут отличить безопасные услуги от небезопасных (...)".

"В-третьих, кибербезопасность сложна - и еще более сложна, когда речь идет об облаке. (...) Это означает, что пользователи не могут адекватно оценить безопасность облачных сервисов или то, как они будут взаимодействовать с их собственными сетями. Это классический "рынок лимонов" (товаров с неопределенным качеством - Прим. ред.) в экономике, и в результате поставщики облачных услуг предоставляют различные уровни безопасности (...)".

"(...) Результатом является дефект рынка, когда поставщики облачных услуг не конкурируют, чтобы обеспечить лучшую безопасность для своих клиентов и пользователей по минимальной цене. Вместо этого облачные компании делают ставку на то, что их не взломают, и прошлый опыт подсказывает им, что они смогут пережить шторм, если поступят так. (...) Однако последствия такого недоинвесирования пагубен, поскольку увеличивает риск, который в значительной степени скрыт от пользователей. Широкое использование облачных сервисов несет этот риск для сети организации, ее клиентов и пользователей и, в свою очередь, для всего интернета. Эта совокупность рисков кибербезопасности создает угрозу для национальной безопасности, - уверены авторы статьи. Лица, определяющие политику, могут помочь решить эту проблему, установив четкие ожидания в отношении безопасности облачных сервисов (...)".

(...)

Источник: Foreign Policу